Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 7 (23.06.23):
Die CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY (CISA) hat die
Schwachstelle CVE-2021-44026 in Roundcube Webmail in ihren ‘Known
Exploited Vulnerabilities Catalog’ aufgenommen, da diese aktiv ausgenutzt
wird.
Version 6 (07.12.21):
Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für ’roundcube’ auf
Version 1.2.3+dfsg.1-4+deb9u9 bereit, um die Schwachstellen zu beheben.
Version 5 (29.11.21):
Für Debian 10 Buster (oldstable) steht Version 1.3.17+dfsg.1-1~deb10u1 und
für Debian 11 Bullseye (stable) steht Version 1.4.12+dfsg.1-1~deb11u1 von
’roundcube’ bereit, um die Schwachstellen zu beheben.
Version 4 (19.11.21):
Der Hersteller hat auch Roundcube Webmail Version 1.3.17 zur Verfügung
gestellt, um die Cross-Site-Scripting (XSS)- und die SQL-Injection-
Schwachstelle zu beheben.
Version 3 (17.11.21):
Für Fedora 33 steht ebenfalls ein Sicherheitsupdate auf Version 1.4.12 im
Status ‘testing’ bereit.
Version 2 (16.11.21):
Der Hersteller hat nun auch Roundcube Webmail Version 1.4.12 zur Verfügung
gestellt, um die Cross-Site-Scripting (XSS)- und die SQL-Injection-
Schwachstelle zu beheben. Für Fedora 34 steht ein Sicherheitsupdate auf
Version 1.4.12 im Status ‘testing’ bereit.
Version 1 (19.10.21):
Neues Advisory

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um
beliebigen SQL-Programmcode zur Ausführung zu bringen, einen Cross-Site-
Scripting (XSS)-Angriff und nicht spezifizierte Angriffe durchzuführen. Für
die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Eine
Schwachstelle erfordert die Interaktion eines Benutzers.

Der Hersteller informiert über die Schwachstellen und stellt die Roundcube
Webmail Version 1.5.0 bereit, um die Schwachstellen zu beheben.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2021-2180]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 6 (07.12.21):
Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für ’roundcube’ auf
Version 1.2.3+dfsg.1-4+deb9u9 bereit, um die Schwachstellen zu beheben.
Version 5 (29.11.21):
Für Debian 10 Buster (oldstable) steht Version 1.3.17+dfsg.1-1~deb10u1 und
für Debian 11 Bullseye (stable) steht Version 1.4.12+dfsg.1-1~deb11u1 von
’roundcube’ bereit, um die Schwachstellen zu beheben.
Version 4 (19.11.21):
Der Hersteller hat auch Roundcube Webmail Version 1.3.17 zur Verfügung
gestellt, um die Cross-Site-Scripting (XSS)- und die SQL-Injection-
Schwachstelle zu beheben.
Version 3 (17.11.21):
Für Fedora 33 steht ebenfalls ein Sicherheitsupdate auf Version 1.4.12 im
Status ‘testing’ bereit.
Version 2 (16.11.21):
Der Hersteller hat nun auch Roundcube Webmail Version 1.4.12 zur Verfügung
gestellt, um die Cross-Site-Scripting (XSS)- und die SQL-Injection-
Schwachstelle zu beheben. Für Fedora 34 steht ein Sicherheitsupdate auf
Version 1.4.12 im Status ‘testing’ bereit.
Version 1 (19.10.21):
Neues Advisory

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um
beliebigen SQL-Programmcode zur Ausführung zu bringen, einen Cross-Site-
Scripting (XSS)-Angriff und nicht spezifizierte Angriffe durchzuführen. Für
die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Eine
Schwachstelle erfordert die Interaktion eines Benutzers.

Der Hersteller informiert über die Schwachstellen und stellt die Roundcube
Webmail Version 1.5.0 bereit, um die Schwachstellen zu beheben.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2021-2180]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 5 (29.11.21):
Für Debian 10 Buster (oldstable) steht Version 1.3.17+dfsg.1-1~deb10u1 und
für Debian 11 Bullseye (stable) steht Version 1.4.12+dfsg.1-1~deb11u1 von
’roundcube’ bereit, um die Schwachstellen zu beheben.
Version 4 (19.11.21):
Der Hersteller hat auch Roundcube Webmail Version 1.3.17 zur Verfügung
gestellt, um die Cross-Site-Scripting (XSS)- und die SQL-Injection-
Schwachstelle zu beheben.
Version 3 (17.11.21):
Für Fedora 33 steht ebenfalls ein Sicherheitsupdate auf Version 1.4.12 im
Status ‘testing’ bereit.
Version 2 (16.11.21):
Der Hersteller hat nun auch Roundcube Webmail Version 1.4.12 zur Verfügung
gestellt, um die Cross-Site-Scripting (XSS)- und die SQL-Injection-
Schwachstelle zu beheben. Für Fedora 34 steht ein Sicherheitsupdate auf
Version 1.4.12 im Status ‘testing’ bereit.
Version 1 (19.10.21):
Neues Advisory

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um
beliebigen SQL-Programmcode zur Ausführung zu bringen, einen Cross-Site-
Scripting (XSS)-Angriff und nicht spezifizierte Angriffe durchzuführen. Für
die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Eine
Schwachstelle erfordert die Interaktion eines Benutzers.

Der Hersteller informiert über die Schwachstellen und stellt die Roundcube
Webmail Version 1.5.0 bereit, um die Schwachstellen zu beheben.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2021-2180]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 4 (19.11.21):
Der Hersteller hat auch Roundcube Webmail Version 1.3.17 zur Verfügung
gestellt, um die Cross-Site-Scripting (XSS)- und die SQL-Injection-
Schwachstelle zu beheben.
Version 3 (17.11.21):
Für Fedora 33 steht ebenfalls ein Sicherheitsupdate auf Version 1.4.12 im
Status ‘testing’ bereit.
Version 2 (16.11.21):
Der Hersteller hat nun auch Roundcube Webmail Version 1.4.12 zur Verfügung
gestellt, um die Cross-Site-Scripting (XSS)- und die SQL-Injection-
Schwachstelle zu beheben. Für Fedora 34 steht ein Sicherheitsupdate auf
Version 1.4.12 im Status ‘testing’ bereit.
Version 1 (19.10.21):
Neues Advisory

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um
beliebigen SQL-Programmcode zur Ausführung zu bringen, einen Cross-Site-
Scripting (XSS)-Angriff und nicht spezifizierte Angriffe durchzuführen. Für
die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Eine
Schwachstelle erfordert die Interaktion eines Benutzers.

Der Hersteller informiert über die Schwachstellen und stellt die Roundcube
Webmail Version 1.5.0 bereit, um die Schwachstellen zu beheben.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2021-2180]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 3 (17.11.21):
Für Fedora 33 steht ebenfalls ein Sicherheitsupdate auf Version 1.4.12 im
Status ‘testing’ bereit.
Version 2 (16.11.21):
Der Hersteller hat nun auch Roundcube Webmail Version 1.4.12 zur Verfügung
gestellt, um die Cross-Site-Scripting (XSS)- und die SQL-Injection-
Schwachstelle zu beheben. Für Fedora 34 steht ein Sicherheitsupdate auf
Version 1.4.12 im Status ‘testing’ bereit.
Version 1 (19.10.21):
Neues Advisory

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um
beliebigen SQL-Programmcode zur Ausführung zu bringen, einen Cross-Site-
Scripting (XSS)-Angriff und nicht spezifizierte Angriffe durchzuführen. Für
die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Eine
Schwachstelle erfordert die Interaktion eines Benutzers.

Der Hersteller informiert über die Schwachstellen und stellt die Roundcube
Webmail Version 1.5.0 bereit, um die Schwachstellen zu beheben.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2021-2180]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 2 (16.11.21):
Der Hersteller hat nun auch Roundcube Webmail Version 1.4.12 zur Verfügung
gestellt, um die Cross-Site-Scripting (XSS)- und die SQL-Injection-
Schwachstelle zu beheben. Für Fedora 34 steht ein Sicherheitsupdate auf
Version 1.4.12 im Status ‘testing’ bereit.
Version 1 (19.10.21):
Neues Advisory

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um
beliebigen SQL-Programmcode zur Ausführung zu bringen, einen Cross-Site-
Scripting (XSS)-Angriff und nicht spezifizierte Angriffe durchzuführen. Für
die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Eine
Schwachstelle erfordert die Interaktion eines Benutzers.

Der Hersteller informiert über die Schwachstellen und stellt die Roundcube
Webmail Version 1.5.0 bereit, um die Schwachstellen zu beheben.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2021-2180]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html